【無料ツールで作るセキュアな環境(31)】〜認証局とは〜(執筆:office)
【無料ツールで作るセキュアな環境】シリーズの記事として先々週からSSLトンネリングソフトであるSSLを取り上げた。この他にもSSLを使った無料のSSLツールを今後紹介していく予定であるが、ここでSSL自体について少し詳しく解説することになった。
特集
特集
SSLは公開鍵暗号システムを用いたインフラ、PKI(Public Key Infrastructure)の一つである。PKIでは認証局を使うことができるが、SSLはその使用にあたって認証局を用いることは必須である。ツール自体は無料で使えても、認証局は無料とは限らない。そこで最適なSSLソリューションを探すことをテーマにSSL関連の技術の解説を行っていきたい。今回はまず認証局とは何かということについて解説する。
[認証局の必要性]
公開鍵暗号のやりとりを通信二者間相互だけで行っている場合、その電子署名で行える認証は同一性認証だけである。つまり、「今回通信しようとしている相手が以前通信した時と同じ人(組織)」であることしか確認できない。そこに第三者となる認証局(CA: Certification Authority)が介在することによって、初通信する相手Aさんについて、どのようなURL、メールアドレス、名前、住所、etcであるか、あるいはAさんがそれらの情報で特定される本人であることを保証してもらうことができる。
認証局は予めAの各種情報をAの公開鍵と同時に確認してデータを保存している。Aと通信する者の証明書要求に応じて、Aの公開鍵とともにAの各種情報のディジタル証明書(デジタルIDR)を発行する。また、認証局は証明書失効リスト(CRL: Certificate Revocation List)と呼ばれる無効となった証明書のリストを保持している。証明書失効リストにより発行された証明書の有効性を調べることができる。
[認証局の認証]
初通信しようとするAについて証明書を発行してくれる認証局aが信用できない場合、その証明書の内容は全く信用できない。しかし、信用できることがわかっている別の認証局bが「認証局aの発行する証明書の内容が信用できる」と証明してくれれば、(認証局aが発行した)Aの証明書について信用できるようになる。
多くの認証局は上位の認証局を持っており、上位の認証局は下位の認証局の電子証明を発行することができる。こうして認証局があつまって階層構造、認証チェーン(Certificate Chain)を作るが、認証パスを形成した認証局群の最上位に位置するのがルート認証局である。ユーザは予めいくつかのルート認証局について確認を行っておけば、それらの下位に位置する全ての認証局の電子証明について信用することができる。
office
office@ukky.net
http://www.office.ac/
(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm
《ScanNetSecurity》
